CVE-2026-9240 in Colissimo Officiel Plugininformación

Resumen

por VulDB • 2026-07-09

El plugin para WordPress Colissimo Officiel : Méthodes de livraison pour WooCommerce es vulnerable a la modificación no autorizada de datos debido a una falta de comprobación de capacidades en la función updateShippingMethod() (registrada con la acción AJAX wp_ajax_lpc_order_affect) en las versiones 2.9.0 y anteriores. Esto se debe a que el controlador no realiza ninguna comprobación de capacidad mediante current_user_can() ni verificación nonce antes de leer un order_id proporcionado por el atacante y modificar el método de envío, los metadatos del punto de recogida (pickup-point meta) y la dirección de envío de dicho pedido. Esto permite a atacantes autenticados con acceso de nivel Suscriptor o superior crear o modificar la información de envío (método de envío, datos de puntos de recogida intermedios y dirección de envío) de pedidos arbitrarios de WooCommerce, incluidos los realizados por otros usuarios.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

Wordfence

Reservar

2026-05-21

Divulgación

2026-07-09

Moderación

aceptado

Artículo

VDB-377195

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!